Les GPO

Les stratégies de groupe (ou GPO pour Group Policy Object) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font partie de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté.
Bien que les stratégies de groupe soient régulièrement utilisées dans les entreprises, elles sont également utilisées dans les écoles ou dans les petites organisations pour restreindre les actions et les risques potentiels comme le verrouillage du panneau de configuration, la restriction de l’accès à certains dossiers, la désactivation de l’utilisation de certains exécutables, etc.

Présentation

Les stratégies de groupe peuvent contrôler des clés de registre, la sécurité NTFS, la politique de sécurité et d’audit, l’installation de logiciel, les scripts de connexion et de déconnexion, la redirection des dossiers, et les paramètres d’Internet Explorer. Les paramétrages sont stockés dans les stratégies de groupe. Chaque stratégie de groupe possède un identifiant unique appelé GUID (« Globally Unique Identifier »). Chaque stratégie de groupe peut être liée à un ou plusieurs domaines, site ou unité d’organisation (en). Cela permet à plusieurs objets ordinateurs ou utilisateurs d’être contrôlés par une seule stratégie de groupe et donc de diminuer le coût d’administration globale de ces éléments.
Les stratégies de groupe utilisent des fichiers de modèle d’administration avec les extensions .ADM ou .ADMX qui décrivent les clés de registre modifiées par l’application des stratégies de groupe. Sur un ordinateur de travail, les modèles d’administration sont stockés dans le répertoire %WinDir%\Inf, alors que sur un contrôleur de domaine Active Directory, pour chaque domaine et pour chaque stratégie de groupe, ils sont stockés dans un répertoire individuel (Le « group policy template », ou GPT (en)) au sein du répertoire Sysvol. Les fichiers .ADMX sont des fichiers basés sur le format XML et introduits par Windows Vista pour la gestion des stratégies de groupe.
Les stratégies de groupe sont analysées et appliquées au démarrage de l’ordinateur et pendant l’ouverture de session de l’utilisateur. Les ordinateurs rafraîchissent les paramètres transmis par les stratégies de groupe de façon périodique, généralement toutes les 60 ou 120 minutes, ce paramètre étant ajustable par un paramètre de stratégie de groupe.
Les stratégies de groupe sont supportées sur Windows 2000, Windows XP Pro, Windows Vista, Windows 2003, Windows 2008, Windows 7, Windows 8 et Windows 2012.

Création et édition des stratégies de groupe

Les stratégies de groupe peuvent être éditées au travers de deux outils – le Group Policy Object Editor (Gpedit.msc) et la Group Policy Management Console (gpmc.msc). GPEdit est utilisé pour créer et éditer une stratégie de groupe de façon unitaire. La GPMC simplifie grandement la gestion des stratégies de groupe en fournissant un outil permettant une gestion centralisée et collective des objets. La GPMC inclut de nombreuses fonctionnalités telles que la gestion des paramètres, un panneau pour la gestion du filtrage par groupe de sécurité, des outils de sauvegarde et de restauration et d’autres outils graphiques intégrés à la MMC. Le nom d’une stratégie de groupe peut être déterminé en utilisant l’outil GPOTool.exe.

Quelques commandes

Il est possible de vérifier l'application des GPO manuellement avec les commandes
GPResult
  • rsop.msc (Windows 2000 à 8 ; serveurs Windows 2000 à 2012) offre une interface graphique "Jeu de stratégie résultant".
Il est possible de forcer l'application des GPO manuellement avec les commandes
GPUpdate /Force
Info: gpupdate ne déploie pas les GPO aux membres du domaine. Elle doit être exécutée sur chaque poste concerné.
Secedit /RefreshPolicy machine_policy /ENFORCE pour les GPO s'appliquant aux ordinateurs
Secedit /RefreshPolicy user_policy /ENFORCE pour les GPO s'appliquant aux utilisateurs


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

How to install all windows server in eve-ng technologie.

Image
The new EVE-NG platform is ready for todays requirements. It allows enterprises, e-learning providers/centres, individuals and group collaborators to create virtual proof of concepts, solutions and training environments. EVE-NG is the first clientless multivendor network emulation software that empowers network and security professionals with huge opportunities in the networking world.
Lire la suite

Formulaire de contact

Image
        Mes salutations chère visiteurs,         Je vous informe que vous pouvez me proposer se que vous voulez en me envoyons un mail depuis la page d’accueil en utilisant notre " FORMULAIRE DE CONTACT " Yassine KHATIM Administrateur de site www.enite2014.blogspot.com
Lire la suite